COMMISSIONE EUROPEA
Bruxelles, 19.12.2018
COM(2018) 860 final
RELAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO
sul secondo riesame annuale del funzionamento dello scudo UE-USA per la privacy
{SWD(2018) 497 final}
COMMISSIONE EUROPEA
Bruxelles, 19.12.2018
COM(2018) 860 final
RELAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO
sul secondo riesame annuale del funzionamento dello scudo UE-USA per la privacy
{SWD(2018) 497 final}
1.SECONDO RIESAME ANNUALE: SCOPO, PREPARAZIONE E PROCESSO
Il 12 luglio 2016 la Commissione ha adottato una decisione (la "decisione di adeguatezza") in cui ha rilevato che lo scudo UE-USA per la privacy ("scudo per la privacy") garantisce un livello di protezione adeguato dei dati personali trasferiti dall'Unione europea a organizzazioni degli USA 1 . La decisione sull'adeguatezza prevede in particolare una valutazione annuale di tutti gli aspetti del funzionamento del quadro normativo da parte della Commissione. Il primo riesame annuale ha avuto luogo il 18 e 19 settembre 2017 a Washington DC e il 18 ottobre 2017 la Commissione ha adottato una relazione al Parlamento europeo e al Consiglio 2 , accompagnata da un documento di lavoro dei servizi della Commissione (SWD (2017) 344 final) 3 .
Sulla base di quanto constatato dal primo riesame, la Commissione ha concluso che gli Stati Uniti continuano ad assicurare un livello di protezione adeguato dei dati personali trasferiti dall'Unione alle organizzazioni negli USA nell'ambito dello scudo per la privacy. Al tempo stesso, la Commissione ritiene che l'attuazione pratica del regime dello scudo per la privacy possa essere ulteriormente migliorata al fine di assicurare che le garanzie e le misure di salvaguardia da esso contemplate funzionino come previsto. A tal fine, la Commissione ha formulato dieci raccomandazioni.
La presente relazione conclude il secondo riesame annuale del funzionamento dello scudo per la privacy. Tale relazione, nonché il documento di lavoro dei servizi della Commissione (SWD (2018) 497), hanno la stessa struttura della relazione sul primo riesame annuale. Essi coprono tutti gli aspetti del funzionamento dello scudo per la privacy, anche alla luce degli sviluppi che hanno avuto luogo nel corso dell'ultimo anno. Un elemento centrale della valutazione della Commissione è stata l'attuazione delle raccomandazioni formulate nel primo riesame annuale.
In preparazione per il secondo riesame annuale, la Commissione ha raccolto informazioni provenienti da parti interessate (segnatamente, le imprese certificate che aderiscono al regime dello scudo per la privacy, attraverso le rispettive associazioni di categoria, e le organizzazioni non governative (ONG) attive nel settore dei diritti fondamentali e in particolare in quello dei diritti digitali e della privacy), nonché dalle autorità statunitensi competenti che partecipano all'attuazione del regime.
La seconda riunione annuale di riesame si è svolta a Bruxelles il 18 e 19 ottobre 2018. Il riesame è stato aperto dal commissario responsabile per la giustizia, i consumatori e la parità di genere, Vĕra Jourová, dal Segretario al commercio degli USA Wilbur Ross, dal presidente della Commissione federale per il commercio Joseph Simons e dal presidente del comitato europeo per la protezione dei dati Andrea Jelinek. Il riesame è stato condotto per l'UE da rappresentanti della direzione generale Giustizia e consumatori della Commissione europea. La delegazione dell'UE includeva anche sette rappresentanti designati dal comitato europeo per la protezione dei dati, l'organo indipendente che riunisce i rappresentanti delle autorità nazionali degli Stati membri competenti per la protezione dei dati e il Garante europeo della protezione dei dati.
Per quanto riguarda gli Stati Uniti, hanno partecipato al riesame rappresentanti del dipartimento del Commercio, del dipartimento di Stato, della Commissione federale per il Commercio, del dipartimento dei Trasporti, dell'ufficio del direttore dell'intelligence nazionale e del dipartimento della Giustizia, membri dell'autorità per la tutela della vita privata e delle libertà civili, nonché il mediatore ad interim e l'ispettore generale della comunità d'intelligence. Inoltre, nel corso delle sessioni dedicate al riesame, hanno fornito informazioni i rappresentanti di un'organizzazione che offre servizi indipendenti di composizione delle controversie nell'ambito dello scudo per la privacy e l'American Arbitration Association. Il riesame annuale è stato inoltre alimentato dalle presentazioni delle imprese certificate che aderiscono al regime dello scudo per la privacy sulle modalità con cui le imprese rispettano i requisiti del regime.
Alle conclusioni della Commissione hanno inoltre contribuito uno studio commissionato dalla Commissione e documenti disponibili al pubblico, quali le decisioni giudiziarie, le norme e le procedure per l'attuazione delle autorità statunitensi competenti, relazioni e studi di ONG, le relazioni in materia di trasparenza redatte dalle imprese certificate che aderiscono al regime dello scudo per la privacy, le relazioni annuali dei meccanismi di ricorso indipendenti e articoli e servizi dei media.
Il riesame di quest'anno è avvenuto nel contesto dei problemi di natura sempre più globale per quanto riguarda la riservatezza dei dati, come è risultato evidente nel caso Facebook/Cambridge Analytica. Sia l'UE che gli Stati Uniti sono consapevoli dei problemi di natura analoga che devono affrontare per quanto riguarda la protezione dei dati personali. Durante il riesame, entrambe le parti hanno sottolineato la necessità di combattere tali abusi di dati personali, anche mediante interventi energici per far rispettare la normativa da parte dell'autorità dell'UE per la protezione dei dati e della Commissione federale per il commercio statunitense.
La relazione della Commissione tiene anche conto del dibattito relativo alla normativa federale sulla privacy negli Stati Uniti. Una convergenza tra i nostri due sistemi a lungo termine rafforzerebbe le basi su cui si fonda lo sviluppo del regime dello scudo per la privacy.
2.CONSTATAZIONI E CONCLUSIONE
Il secondo riesame annuale ha riguardato sia gli "aspetti commerciali" dello scudo per la privacy che i problemi correlati all'accesso delle pubbliche amministrazioni ai dati personali.
Per quanto riguarda gli "aspetti commerciali", vale a dire le questioni riguardanti l'amministrazione, il controllo e il rispetto degli obblighi applicabili alle aziende certificate, la Commissione ha osservato che, conformemente alle raccomandazioni formulate dalla Commissione nel primo riesame annuale, il dipartimento del Commercio ha ulteriormente rafforzato il processo di certificazione e ha introdotto nuove procedure di controllo. In particolare, il dipartimento del Commercio ha adottato una nuova procedura in base alla quale coloro che chiedono per la prima volta di aderire allo scudo per la privacy sono tenuti ad attendere il completamento dell'esame della certificazione da loro presentata prima di poter fare pubblicamente riferimento alla loro adesione. Inoltre, il dipartimento del Commercio ha introdotto nuovi meccanismi per individuare eventuali problemi di conformità, come verifiche casuali (al momento del riesame annuale, erano state effettuate tali verifiche su circa 100 organizzazioni) e il monitoraggio delle relazioni pubbliche sulle pratiche in materia di privacy degli aderenti allo scudo. Al fine di individuare i casi di millantata adesione al regime, il dipartimento del Commercio utilizza attivamente una serie di strumenti, ad esempio un riesame trimestrale delle società che sono state identificate come quelle per le quali le probabilità di false dichiarazioni sono più alte e un sistema di ricerca di immagini e testi su Internet. A seguito di tali nuove pratiche e procedure, il dipartimento del Commercio, a partire dal primo riesame annuale, ha riportato oltre 50 casi alla Commissione federale per il commercio, che a sua volta ha avviato misure di esecuzione nei casi in cui tale deferimento non era sufficiente in sé per ottenere il rispetto delle norme da parte della società interessata.
Per quanto concerne l'esecuzione, la Commissione ha constatato che la Commissione federale per il commercio ha di recente emesso, nell'ambito degli sforzi intesi a monitorare attivamente il rispetto dei principi dello scudo per la privacy, ordinanze amministrative al fine di ottenere informazioni da una serie di aderenti allo scudo. La Commissione federale per il commercio ha anche confermato che sono in corso indagini sul caso Facebook/Cambridge Analytica. La Commissione, pur ritenendo che il nuovo approccio proattivo della Commissione federale per il commercio al monitoraggio del rispetto delle norme rappresenti un importante sviluppo, deplora che, in questa fase, non sia stato possibile per tale Commissione federale fornire ulteriori informazioni sulle sue recenti indagini e seguirà da vicino eventuali ulteriori sviluppi al riguardo.
Il secondo riesame annuale ha anche tenuto conto dell'evoluzione del sistema giuridico statunitense nel settore della privacy. Si tratta, in particolare, della consultazione avviata dal dipartimento del Commercio su un approccio federale alla privacy dei dati nonché del processo di riflessione della Commissione federale per il commercio sulle sue attuali competenze in materia di privacy e sull'efficacia dell'uso della sua attuale autorità per quanto riguarda le misure correttive.
Come hanno dimostrato il caso Facebook/Cambridge Analytica e altre rivelazioni, sarebbe importante che vi fosse una maggiore convergenza tra le reazioni dell'UE e quelle degli USA. In questo spirito, la Commissione ha osservato le suddette iniziative con grande interesse e ha contribuito al processo di consultazione del dipartimento del Commercio con una comunicazione scritta. 4
Per quanto riguarda gli aspetti inerenti all'accesso e all'utilizzo dei dati personali da parte delle autorità pubbliche statunitensi, il secondo riesame annuale si è concentrato sugli sviluppi del quadro giuridico statunitense in materia, anche per quanto riguarda le pertinenti politiche e procedure dell'agenzia, sulle recenti tendenze per quanto riguarda le attività di sorveglianza e sugli sviluppi per quanto riguarda l'istituzione e il funzionamento di importanti meccanismi di vigilanza e di ricorso.
Il più importante sviluppo giuridico per quanto riguarda l'accesso dei governi ai dati personali è stato il rinnovo dell'autorizzazione di cui all'articolo 702 del Foreign Intelligence Surveillance Act (FISA) all'inizio del 2018. Anche se il rinnovo dell'autorizzazione non ha portato a incorporare nella legge le tutele previste dalla direttiva presidenziale n. 28, come era stato suggerito dalla Commissione, esso non ha però neanche limitato alcuna delle garanzie contenute nell'atto che erano in vigore nel momento in cui è stata adottata la decisione relativa allo scudo per la privacy. Inoltre, le modifiche non ampliano i poteri della comunità di intelligence statunitense per quanto riguarda l'acquisizione di informazioni di intelligence esterna mediante il ricorso a cittadini non statunitensi ai sensi dell'articolo 702. Invece, le modifiche del Reauthorization Act del 2017, che modifica il Foreign Intelligence Surveillance Act del 1978, hanno introdotto alcune limitate garanzie supplementari in materia di privacy, ad esempio per quanto riguarda la trasparenza.
Vi sono stati importanti sviluppi anche per quanto riguarda l'autorità per la tutela della vita privata e delle libertà civili, che, all'epoca del primo riesame annuale, disponeva di un solo membro e per la quale la Commissione aveva pertanto raccomandato la rapida nomina dei membri mancanti. L'11 ottobre 2018 il Senato degli Stati Uniti ha confermato le nomine del presidente e di altri due membri dell'autorità per la tutela della vita privata e delle libertà civili, ripristinando in tal modo il quorum di tale organo e permettendogli di svolgere tutte le sue funzioni. Dopo il primo riesame annuale, la Commissione aveva anche raccomandato la pubblicazione della relazione dell'autorità sulla direttiva presidenziale n. 28. La relazione, che è stata pubblicata il 16 ottobre 2018 5 , conferma che la direttiva presidenziale n. 28 è pienamente applicata in tutta la comunità di intelligence. In particolare, conferma che, a seguito della pubblicazione della direttiva presidenziale n. 28, i servizi della comunità di intelligence hanno adottato norme dettagliate per l'applicazione della direttiva e hanno modificato le loro pratiche al fine di renderle conformi ai requisiti della direttiva presidenziale n. 28.
Infine, anche se la Commissione aveva raccomandato la rapida nomina del mediatore dello scudo per la privacy, la posizione di sottosegretario del Dipartimento di Stato a cui l'ufficio del mediatore è stato assegnato non era ancora coperta con una nomina permanente al momento della presente relazione. A tale riguardo, la Commissione prende atto del fatto che nel secondo riesame annuale, il governo statunitense ha riconosciuto la necessità di procedere rapidamente alla nomina di un sottosegretario permanente e ha confermato che tale processo è già avanzato.
Al momento in cui è stata stilata la presente relazione, il meccanismo di mediazione non aveva ancora ricevuto alcuna richiesta. Tuttavia, era stata presentata al mediatore una denuncia dall'autorità per la protezione dei dati della Croazia ed erano in corso le relative verifiche.
Constatazioni dettagliate riguardanti il funzionamento di tutti gli aspetti dello scudo per la privacy al termine del suo secondo anno di funzionamento sono presentate nel documento di lavoro dei servizi della Commissione sul secondo riesame annuale del funzionamento dello scudo UE-USA per la privacy (SWD(2018) 497) che accompagna la presente relazione.
Le informazioni raccolte nell'ambito del secondo riesame annuale confermano le constatazioni formulate dalla Commissione nella decisione di adeguatezza, sia per quanto riguarda gli "aspetti commerciali" del regime che per quanto riguarda gli aspetti legati all'accesso ai dati personali trasferiti nell'ambito dello scudo per la privacy da parte delle autorità statunitensi.
In base a tali constatazioni, la Commissione è giunta alla conclusione che gli Stati Uniti continuano ad assicurare un livello di protezione adeguato dei dati personali trasferiti dall'Unione alle organizzazioni negli USA nell'ambito dello scudo per la privacy.
In particolare, le misure adottate per attuare le raccomandazioni della Commissione in seguito al primo riesame annuale hanno migliorato diversi aspetti del funzionamento pratico del regime al fine di assicurare che il livello di protezione delle persone fisiche garantito dalla decisione di adeguatezza non sia compromesso.
Tuttavia, alcune di queste iniziative sono state adottate soltanto di recente e i pertinenti processi sono ancora in corso. Tutti gli ulteriori sviluppi riguardanti tali processi devono quindi essere attentamente monitorati, in particolare quando incidono su elementi che sono fondamentali per la continuità dell'accertamento di adeguatezza. Si tratta segnatamente dei seguenti aspetti:
1.l'efficacia dei meccanismi introdotti dal dipartimento del Commercio nel secondo anno di funzionamento del regime per monitorare attivamente il rispetto da parte delle imprese certificate dei principi in materia di scudo per la privacy, e in particolare la conformità con i requisiti e gli obblighi sostanziali;
2.l'efficacia degli strumenti introdotti dal dipartimento del Commercio dopo il primo riesame annuale per individuare le false dichiarazioni di adesione al regime, e in particolare per la ricerca di false dichiarazioni presentate da imprese che non hanno mai presentato domanda per ottenere la certificazione;
3.i progressi e i risultati di indagini d'ufficio svolte dalla Commissione federale per il commercio nel secondo anno di funzionamento dello scudo per la privacy mediante ordinanze amministrative per individuare violazioni sostanziali dello scudo per la privacy;
4.l'elaborazione di ulteriori orientamenti comuni da parte del dipartimento del Commercio, della Commissione federale per il Commercio e delle autorità di protezione dei dati dell'UE sugli elementi per i quali sono necessari ulteriori chiarimenti (ad esempio i dati relativi alle risorse umane);
5.la nomina di un mediatore permanente dello scudo per la privacy;
6.l'efficacia della gestione e risoluzione dei reclami da parte del mediatore.
In particolare, la Commissione invita nuovamente il governo statunitense a confermare il suo impegno politico a favore del meccanismo di mediazione nominando in via prioritaria un mediatore permanente dello scudo per la privacy. Il meccanismo di mediazione è un elemento importante del regime dello scudo per la privacy e, anche se il mediatore ad interim continua a svolgere le funzioni di sua competenza, l'assenza di un mandato permanente è estremamente insoddisfacente e vi si dovrebbe porre rimedio il più presto possibile. La Commissione si attende che il governo degli Stati Uniti individui un candidato che assuma la posizione di mediatore permanente entro il 28 febbraio 2019 e informi la Commissione di tale nomina. Se il mediatore non verrà nominato entro tale termine, la Commissione dovrà valutare l'adozione di misure adeguate, in conformità con il regolamento generale sulla protezione dei dati 6 . Inoltre, la Commissione si aspetta di ricevere informazioni precise e dettagliate su tutti gli aspetti summenzionati al fine di essere in grado di valutare se le misure adottate siano efficaci nella pratica.
Infine, la Commissione continuerà a seguire da vicino il dibattito in corso per quanto riguarda la normativa federale sulla privacy negli Stati Uniti. Considerata la consistenza dei flussi transatlantici di dati, la Commissione auspica che gli Stati Uniti adottino un sistema completo di protezione dei dati e della privacy e diventino parte contraente della convenzione 108 del Consiglio d'Europa. Solo mediante un tale approccio globale può essere raggiunta a più lungo termine una convergenza tra i nostri due sistemi che consolidi anche le fondamenta su cui si basa lo sviluppo del regime dello scudo per la privacy.
Decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (GU L 2017 dell'1.8.2016, pag. 1).
Relazione della Commissione al Parlamento europeo e al Consiglio sul primo riesame annuale del funzionamento dello scudo UE-USA per la privacy (COM 2017/611 final, cfr. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 ).
Documento di lavoro dei servizi della Commissione che accompagna la relazione della Commissione al Parlamento europeo e al Consiglio sul primo riesame annuale del funzionamento dello scudo UE-USA per la privacy (SWD(2017) 344 final), cfr. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
La comunicazione è consultabile all'indirizzo: https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf .
Relazione al Presidente sulla "attuazione della direttiva presidenziale n. 28: attività di intelligence dei segnali", disponibile all'indirizzo https://www.pclob.gov/reports/report-PPD28/
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).